Nemmeno la Russia sfugge agli attacchi hacker. Un malware chiamato CryWiper è riuscito a colpire alcuni uffici pubblici e sta cancellando progressivamente tutti i loro dati. Per ora nessuno ha rivendicato questa operazione ma potrebbe essere legata alla guerra.
CryWiper, attacco distruttivo
Il conflitto russo-ucraino continua ma le armi da fuoco non sono le uniche a cui la Federazione Russa deve stare attenta come si è visto in passato. Di recente infatti un pericoloso malware di tipologia wiper è arrivato a colpire tribunali e uffici delle pubbliche amministrazioni in tutto il paese.
Il trojan si chiama CryWiper e finora si sa che qualsiasi dato o documento ne venga intaccato non può più essere riportato allo stato originale. Penetra facilmente su Windows, dopodiché attacca tutti i file contrassegnandoli con l’estensione .CRY.
Interessante è il fatto che questo tipo di attacco abbia per forza l’unico scopo di sabotare. Non avrebbe senso per gli hacker chiedere alcun riscatto dato che una volta entrato in funzione CryWiper distrugge senza ritorno. I file vengono sovrascritti anziché crittati quindi non c’è alcuna possibilità di un’azione volta a ottenere un qualche guadagno.
Questo malware però non ha potere contro alcuni tipi di documenti, tra cui i formati .exe, .msi e .dll, che su Linux sono indicati con .so. Principalmente punta ad archivi e database, ma anche ai documenti user.
Come agisce il malware
Utilizzando la componente di Windows Task Scheduler questo wiper riesce a pianificare la propria esecuzione ogni cinque minuti in modo da operare non-stop sul computer infettato. Inoltre può mandare il nome del dispositivo dove è penetrato al PC controllato dall’hacker che ha pianificato il tutto in modo da ricevere il segnale di iniziare il suo attacco.
CopyWiper riesce anche a cancellare tutte le eventuali copie dei file in modo da accertarsi che questi non vengano più recuperate. Vale anche per i backup automatici messi in atto da Shadow Copy. In questo modo nessun dato risulta più al sicuro.
La domanda che rimane in sospeso è chi avrebbe potuto concepire questo attacco e che obiettivo abbia. La teoria più accreditata è che si tratti di un’operazione messa a punto o da organizzazioni ucraine o da movimenti interni contrari alla politica russa attuale.
🔴 FONTI: www.kaspersky.com